Lettre de demande d'autorisation d’utilisation de certaines données personnelles aux salariés

Respecter et appliquer la protection des données à caractère personnel lors de leur traitement (RGPD) : sur qui pèse l'obligation ?

Dans le cadre de la gestion de votre personnel et de la vie de votre entreprise (communication interne, gestion administrative, outils professionnels, etc.), vous avez besoin de traiter certaines données personnelles d’un ou de plusieurs de vos salariés.

Pour mémoire, l’article 4 du RGPD définit le traitement de données personnelles comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Conformément à vos obligations relatives à la protection des données personnelles, vous souhaitez, préalablement, recueillir leur accord écrit.

Avant de songer à recueillir le consentement du salarié, vous devez savoir qu’il est impératif que les données personnelles soient (article 5 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD ; article 4 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : 

• traitées de manière licite, loyale et transparente au regard de la personne concernée ;
• collectées pour des finalités déterminées, explicites et légitimes ;
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles vous souhaitez les traiter (ne recueillir que les données dont vous avez réellement besoin) ;
• exactes et, si nécessaires, tenues à jour ;
• conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
• traitées de façon à garantir une sécurité appropriée (y compris contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle).

En tant que responsable du traitement, vous devez être en mesure de prouver que ces principes sont bien respectés.

Bon à savoir : le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (article 4 du RGPD).

Pour être licite, le traitement de données à caractère personne doit remplir l’une des conditions suivantes (article 6 du RGPD ; article 5 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : 

• la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
• le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci (exemple en entreprise : traitement des candidatures, gestion de la mobilité professionnelle, gestion des demandes de formation, etc.) ;
• le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis (exemple en entreprise : gestion des élections professionnelles, déclaration sociale nominative (DSN), etc.) ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
• le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
• le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Autrement dit, le consentement du salarié n’est pas toujours requis, notamment lorsque les données concernées doivent nécessairement être traitées dans le cadre de l’exécution de son contrat de travail, ou dans le cadre d’une obligation légale (la complémentaire santé d’entreprise par exemple) (2ᵉ et 3ᵉ conditions de l’article précité).

Dans le cas où il est requis, le RGPD fixe 4 grandes règles applicables au consentement (article 7 du RGPD) : 

• dans les cas où le traitement repose sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ;
• si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du RGPD n'est contraignante ;
• la personne concernée doit avoir le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée doit en être informée avant de donner son consentement. Il doit être aussi simple de retirer que de donner son consentement ;
• au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

En outre, vous devez respecter les droits du salarié relatifs à ses données personnelles (droit d’accès, de rectification, d’opposition, etc.).

Si le traitement des données envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, vous avez l’obligation d’effectuer, avant celui-ci, une analyse de l’impact des opérations dudit traitement (ex : si le traitement a pour but de surveiller de manière constante l’activité des salariés concernés) (article 35 du RGPD).

Enfin, et sauf exceptions, notez qu’il est interdit de traiter des données sensibles du salarié, à savoir de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (article 6 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

À lire aussi : L'obligation d'information des salariés concernant le RGPD ; Mise en conformité RGPD : tout savoir sur la protection des données

Pour prouver que vous avez bien demandé puis recueilli le consentement du salarié, vous pouvez envoyer ce courrier par lettre recommandée avec accusé de réception, ou remise en main propre contre décharge.

Si vous en avez un, pensez à consulter votre délégué à la protection des données (DPD) afin de vous guider dans vos démarches.

Dans le but de sécuriser vos relations, et dans un objectif de transparence et de communication, il est aussi possible d’insérer une “clause de protection des données personnelles” au sein du contrat de travail de votre salarié, lui rappelant ses droits en la matière, et les traitements effectués par l’entreprise dans le cadre de la gestion du personnel.

Si le consentement de votre salarié n’est pas requis, mais que vous souhaitez simplement l’informer des données traitées dans un objectif de transparence et de loyauté, vous pouvez modifier ce modèle en conséquence (options 2 et 3 du modèle).

Enfin, notez que ce modèle de lettre se veut général et doit être adapté et complété selon votre situation. Effectivement, en tant qu’employeur, vous devez vous assurer de respecter toutes les réglementations qui pourraient s’appliquer en la matière. 

À ce titre, vous devez vérifier le cadre légal de la protection des données personnelles (droit à l’image, droit à la vie privée, RGPD, etc.) et selon les finalités désirées (vidéosurveillance, enregistrement, géolocalisation, etc.). 

Par exemple, si votre demande de collecte concerne l’installation d’un système de biométrie (et donc de données sensibles telles qu’empreinte digitale, reconnaissance faciale, iris, etc., dont le traitement n’est autorisé que sous exceptions), vous devez strictement respecter le règlement type élaboré par la CNIL (Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail).

En cas de doute, il est toujours possible de contacter un avocat, et/ou d’interroger la CNIL avant d’agir.

Ce modèle de lettre peut également vous intéresser : Lettre de réponse à une demande d’accès aux données personnelles